Triagem de falso-positivo do AWAF
O outro lado do estimador de envenenamento: relaxe um falso positivo genuíno do Advanced WAF corretamente, com escopo, e pare antes de relaxar um ataque real. Escolha uma categoria de violação, seu violation rating médio, e se está enforced, staged ou transparent, e obtenha o veredito baseado em rating do F5 e a correção com escopo. Roda inteiramente no seu navegador.
Segurança e WAFA violação que você está triando
Calculado no seu navegador. Nada é enviado.
Um modelo determinístico do comportamento de triagem documentado do F5, não uma sondagem. Leia a violação, o rating e o estado de enforcement da requisição em Security > Event Logs > Application > Requests. Nunca contata um BIG-IP.
Provavelmente um falso positivo
Não bloqueando (apenas registrado)Se você confirmar que é legítimo, aplique a correção com escopo abaixo (ou aceite a sugestão de aprendizado).
Correção com escopo (se for um falso positivo confirmado)
- Desabilite a signature específica apenas na URL ou parâmetro específico, nunca para toda a política.
- Adicione a URL ou parâmetro como entidade permitida para a verificação ser ignorada apenas ali.
- Habilite o Potential False Positive Detection para o sistema aprender a similaridade das requisições e tratar as parecidas com a maioria como benignas, sinalizando outliers.
- Coloque a signature (de volta) em staging para que registre mas não bloqueie enquanto você coleta mais tráfego.
Tenha em mente
- Para falsos positivos de attack signature, o Potential False Positive Detection é a opção mais leve: deixa o sistema decidir por similaridade de tráfego em vez de você desabilitar signatures à mão.
- Sempre limite a correção à URL ou parâmetro específico. Desabilitar uma signature ou violação para toda a política troca um falso positivo por um ponto cego em todo o resto.
- A regra que rege tudo isto: relaxe a política apenas onde um falso positivo de fato ocorreu, nunca onde um ataque real causou a violação.
Endpoint da APIGEThttps://ronutz.com/api/v1/f5-awaf-false-positive-triageDocumentado, não servido. Abre a especificação.
Referências
- F5 K70544352: Reducing false positive violations
- F5 BIG-IP ASM/Advanced WAF: Working with Violations (violation rating -> block behaviour; rating 4-5 blocks even with Block off; unlearnable rating-5 set)
- F5 BIG-IP ASM: Refining Security Policies with Learning (accept vs clear by rating; relax only genuine false positives)
- F5 K13050156: Policy tuning and enhancement